Créer un tableau de bord simple pour surveiller l’accessibilité des sources dans Splunk

Dans l’article précédent, nous avons examiné l’utilisation du panneau dépendant pour créer des visualisations pratiques dans les tableaux de bord. Si vous l’avez manqué, suivez le lien : https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Beaucoup de personnes qui commencent à étudier Splunk se posent des questions sur la surveillance de la disponibilité des données entrantes : quand les données sont-elles venues pour la dernière fois d’une source particulière, quand les données ont-elles cessé d’arriver ou quelles sources ne sont pas disponibles maintenant.
Ainsi, aujourd’hui, nous allons créer un tableau de bord simple avec des informations sur la disponibilité des sources dans notre Splunk.

Comment se tenir informé de l’accessibilité des sources

1. Tout d’abord, créons un tableau de bord avec le titre ‘Disponibilité des Sources’:

2. Ensuite, nous effectuons une requête de recherche pour la construction du tableau statistique.
Il est nécessaire de faire une requête de recherche pour le tableau statistique dans toutes les index data (index=*): nous aimerions rechercher le dernier événement de chaque hôte et source, pour ce faire, nous utiliserons ‘stats’ commande :index=* | stats max(_time) as last_time by host, source

‘last_time’le champ nous montre la dernière fois au format Unix quand les événements sont entrés dans Splunk.

3. Maintenant, nous ajoutons et calculons les variables ‘Minutes ago’, ‘Hours ago’, ‘Days ago’.
Pour les minutes :eval latency_minutes=round((now()-last_time)/60,0)Pour les Heures :eval latency_hours=round(latency_minutes/60,0)Pour les Jours :eval latency_days=round(latency_hours/24,0)

Note : ’round’ est utilisé pour arrondir et obtenir un entier.Résultat :

4. Ok, renommer maintenant les champs et convertir ‘last_time’ au format lisible par l’homme. Il est également nécessaire d’ajouter un champ de condition de déclenchement : si latency_minutes plus de 5 status si ‘Off’, si moins de 5 minutes –‘On’:

5. En conséquence, nous voyons le tableau de bord suivant :Dans cet article, j’ai démontré comment faire une requête de recherche simple pour surveiller l’accessibilité des sources. En utilisant cette méthode, vous pouvez rapidement déterminer quelle source manque ou est devenue indisponible. Cette logique peut également être utilisée avec d’autres types de données, où il est nécessaire de vérifier que le processus n’a pas planté et est toujours en ligne. Au lieu de sources, vous pouvez utiliser d’autres événements et champs pour la surveillance. Ainsi, la semaine prochaine, je vais démontrer comment changer la couleur d’une cellule en fonction de la valeur pour construire des tableaux informatifs.